✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

פיתוח במיקור חוץ – אבטחה שצריך לקיים

פיתוח במיקור חוץ – אבטחה שצריך לקיים
ערן כהן
|
קלה
|
Nov 15, 2017
alt="facebook"alt="linkedin"להרשמה לניוזלטר

חברות וארגונים רבים החלו לא מכבר להעביר את מרבית השירותים שלהם – למיקור חוץ. החל בשירותי אדמיניסטרציה ומענה טלפוני, דרך שרותי השיווק והמכירות ועד לפיתוח המוצר.

שיקולים רבים עומדים בבסיס החלטה לעבור לפיתוח offshore, אך כאשר מדובר ב- outsourcing של מח' הפיתוח – הדבר מורכב פי כמה.

מעבר לשיקולי העלות, לוחות הזמנים ויכולת השליטה בכוח האדם, מתווספות לקבלת ההחלטה סוגיות של קניין רוחני, סודיות ואבטחת מידע.

הבחירה בחברת הפיתוח הנכונה היא משמעותית ביותר ותלויה במשתנים רבים וקריטיים.

איך בוחרים צוות/חברת פיתוח חיצונית וממשיכים לישון בשקט?

הנה כמה נקודות שכדאי לתת להן תשומת לב:

ניסיון רלוונטי

רגע לפני שאנחנו נכנסים להיבטים של אבטחה ושמירה על סודיות, חשוב שלחברת הפיתוח בה אתם בוחרים יהיה את הניסיון המקצועי הרלוונטי לצרכים שלכם ושתהיה בעלת שם דבר בארץ היעד של צוות הפיתוח, כמו גם כאן בארץ.

הכנסו אל אתר החברה, בדקו את פרופיל הלקוחות הקיימים ואת הפרויקטים שכבר נעשו מבחינת היקף, משך הזמן וסדרי הגודל. חשוב לבחור בחברה אשר תוכל להתמודד עם משימות רחבות וממושכות ולגדול ביחד איתכם גם אם כרגע אתם זקוקים לפרויקטים קטנים וממוקדים.

הגדרת דרישות אבטחת המידע שלכם

הגדירו מראש את דרישות אבטחת המידע שלכם, כדי לוודא מול החברה שהיא עומדת בהן.

מה כוללות אותן דרישות? עמידה בתקנים ספציפיים כגון ISO-9001 (אבטחת איכות) או ISO-27001 (אבטחת מידע) היא לא רק חשובה בפני עצמה אלא גם מעידה על יכולותיו של ספק שירותי הפיתוח לעמוד בתקן ולעבור בהצלחה את תהליך ההסמכה המפרך (והיקר!)

עמידה תקנים בינלאומיים לאבטחת מידע

GRC Governance, Risk Management, and Compliance)) או בעברית רגולציה, ניהול סיכונים ותאימות, היא מסגרת של תקינה המחייבת עמידה בסטנדרטים מסוימים, המאפשרים ללקוח שקיפות ומעקב אחר התהליך ומפחיתים משמעותית את הסיכון.

בבחירת חברה לשירותי פיתוח במיקור חוץ או בכל מודל אחר, חשוב לוודא עמידה בתקנים האלה.

ישנן חברות בסטטוס מסוים אשר עבורן העמידה של ספק שירותי התוכנה בתקנים מסוימים הינה מנדטורית, למשל עקב דרישות משקיע גדול או לפני הנפקה או בשל אופי העסק (חברות פיננסים, חברות ראיית חשבון ועוד).

הגורם האנושי

תקנים והגדרות אבטחה, מחמירים ככל שיהיו, נתונים בידיהם של האנשים העובדים בחברה. דליפת מידע רגיש יכולה להתבצע בכוונה תחילה או מחוסר תשומת לב.

הרקע של האנשים בחברה אשר את שירותיה אתם שוכרים, הוא קריטי.

סביר להניח כי אנשי פיתוח מנוסים, בעלי רקע וותק וקריירה מרשימה לא יסכנו את הקריירה שלהם, גם בעבור "חופן דולרים".

בחרו בחברה שאלה הם העובדים שלה. בדקו מול הספק שבחרתם מה הרקע של עובדיו ואיך מתנהל השוק המקומי.

קניין רוחני

זכויות והגדרות קניין רוחני הן עניין המשתנה ממדינה למדינה ולכן חשוב להגדיר אותו מראש בחוזה העבודה, וכן להחתים את כלל העובדים על הסכם סודיות (NDA) המבטיח שכל הצדדים מודעים לנושא.

מוניטין– לא בכדי צוברות חברות מוניטין כלשהו, חיובי או שלילי. המוניטין הוא נגזרת של וותק בשוק, מקצועיות, אמינות, מהימנות, ניסיון ועוד ועוד.

אל תפחיתו בערך המוניטין. עשו מחקר על החברה איתה אתם מתכננים לעבוד. בדקו מול לקוחות קיימים, וודאו כי החברה עומדת בכל תקני אבטחת המידע והקניין הרוחני, כמו גם בחוקי המדינה בה היא עובדת. רק כך תוכלו להיות שקטים ובטוחים כי המוצר שלכם נמצא בידיים טובות.

תיאום ציפיות

לסיום, (ואולי דווקא כהתחלה?), אחרי שווידאתם שחברת הפיתוח עומדת בכל דרישותיכם, הן מבחינת אבטחה, שמירה על סודיות, ניסיון, רקע ומוניטין, חשוב שתתאמו מולה ציפיות בכל הנוגע לעלויות ולוחות זמנים.

מתודולוגיות עבודה, כמו  Agile וscrum-, המאפשרות לכם שליטה ויכולת תגובה בזמן אמת על תהליך הפיתוח, לוחות הזמנים המתוכננים, כולל  זמן ההוצאה לשוק (TTM), עלויות לעובד פר שעה ועוד – כל אלה פרמטרים משמעותיים, העשויים להכריע בבחירת הקבלן.

אם תקפידו לקיים את כל אלה בבחירת החברה איתה אתם עובדים – תבטיחו לעצמכם שותף אמיתי לדרך ותפחיתו ככל הניתן את הסיכונים.

הכותב, ערן כהן, מנהל אזורי של Ciklum IL

חברות וארגונים רבים החלו לא מכבר להעביר את מרבית השירותים שלהם – למיקור חוץ. החל בשירותי אדמיניסטרציה ומענה טלפוני, דרך שרותי השיווק והמכירות ועד לפיתוח המוצר.

שיקולים רבים עומדים בבסיס החלטה לעבור לפיתוח offshore, אך כאשר מדובר ב- outsourcing של מח' הפיתוח – הדבר מורכב פי כמה.

מעבר לשיקולי העלות, לוחות הזמנים ויכולת השליטה בכוח האדם, מתווספות לקבלת ההחלטה סוגיות של קניין רוחני, סודיות ואבטחת מידע.

הבחירה בחברת הפיתוח הנכונה היא משמעותית ביותר ותלויה במשתנים רבים וקריטיים.

איך בוחרים צוות/חברת פיתוח חיצונית וממשיכים לישון בשקט?

הנה כמה נקודות שכדאי לתת להן תשומת לב:

ניסיון רלוונטי

רגע לפני שאנחנו נכנסים להיבטים של אבטחה ושמירה על סודיות, חשוב שלחברת הפיתוח בה אתם בוחרים יהיה את הניסיון המקצועי הרלוונטי לצרכים שלכם ושתהיה בעלת שם דבר בארץ היעד של צוות הפיתוח, כמו גם כאן בארץ.

הכנסו אל אתר החברה, בדקו את פרופיל הלקוחות הקיימים ואת הפרויקטים שכבר נעשו מבחינת היקף, משך הזמן וסדרי הגודל. חשוב לבחור בחברה אשר תוכל להתמודד עם משימות רחבות וממושכות ולגדול ביחד איתכם גם אם כרגע אתם זקוקים לפרויקטים קטנים וממוקדים.

הגדרת דרישות אבטחת המידע שלכם

הגדירו מראש את דרישות אבטחת המידע שלכם, כדי לוודא מול החברה שהיא עומדת בהן.

מה כוללות אותן דרישות? עמידה בתקנים ספציפיים כגון ISO-9001 (אבטחת איכות) או ISO-27001 (אבטחת מידע) היא לא רק חשובה בפני עצמה אלא גם מעידה על יכולותיו של ספק שירותי הפיתוח לעמוד בתקן ולעבור בהצלחה את תהליך ההסמכה המפרך (והיקר!)

עמידה תקנים בינלאומיים לאבטחת מידע

GRC Governance, Risk Management, and Compliance)) או בעברית רגולציה, ניהול סיכונים ותאימות, היא מסגרת של תקינה המחייבת עמידה בסטנדרטים מסוימים, המאפשרים ללקוח שקיפות ומעקב אחר התהליך ומפחיתים משמעותית את הסיכון.

בבחירת חברה לשירותי פיתוח במיקור חוץ או בכל מודל אחר, חשוב לוודא עמידה בתקנים האלה.

ישנן חברות בסטטוס מסוים אשר עבורן העמידה של ספק שירותי התוכנה בתקנים מסוימים הינה מנדטורית, למשל עקב דרישות משקיע גדול או לפני הנפקה או בשל אופי העסק (חברות פיננסים, חברות ראיית חשבון ועוד).

הגורם האנושי

תקנים והגדרות אבטחה, מחמירים ככל שיהיו, נתונים בידיהם של האנשים העובדים בחברה. דליפת מידע רגיש יכולה להתבצע בכוונה תחילה או מחוסר תשומת לב.

הרקע של האנשים בחברה אשר את שירותיה אתם שוכרים, הוא קריטי.

סביר להניח כי אנשי פיתוח מנוסים, בעלי רקע וותק וקריירה מרשימה לא יסכנו את הקריירה שלהם, גם בעבור "חופן דולרים".

בחרו בחברה שאלה הם העובדים שלה. בדקו מול הספק שבחרתם מה הרקע של עובדיו ואיך מתנהל השוק המקומי.

קניין רוחני

זכויות והגדרות קניין רוחני הן עניין המשתנה ממדינה למדינה ולכן חשוב להגדיר אותו מראש בחוזה העבודה, וכן להחתים את כלל העובדים על הסכם סודיות (NDA) המבטיח שכל הצדדים מודעים לנושא.

מוניטין– לא בכדי צוברות חברות מוניטין כלשהו, חיובי או שלילי. המוניטין הוא נגזרת של וותק בשוק, מקצועיות, אמינות, מהימנות, ניסיון ועוד ועוד.

אל תפחיתו בערך המוניטין. עשו מחקר על החברה איתה אתם מתכננים לעבוד. בדקו מול לקוחות קיימים, וודאו כי החברה עומדת בכל תקני אבטחת המידע והקניין הרוחני, כמו גם בחוקי המדינה בה היא עובדת. רק כך תוכלו להיות שקטים ובטוחים כי המוצר שלכם נמצא בידיים טובות.

תיאום ציפיות

לסיום, (ואולי דווקא כהתחלה?), אחרי שווידאתם שחברת הפיתוח עומדת בכל דרישותיכם, הן מבחינת אבטחה, שמירה על סודיות, ניסיון, רקע ומוניטין, חשוב שתתאמו מולה ציפיות בכל הנוגע לעלויות ולוחות זמנים.

מתודולוגיות עבודה, כמו  Agile וscrum-, המאפשרות לכם שליטה ויכולת תגובה בזמן אמת על תהליך הפיתוח, לוחות הזמנים המתוכננים, כולל  זמן ההוצאה לשוק (TTM), עלויות לעובד פר שעה ועוד – כל אלה פרמטרים משמעותיים, העשויים להכריע בבחירת הקבלן.

אם תקפידו לקיים את כל אלה בבחירת החברה איתה אתם עובדים – תבטיחו לעצמכם שותף אמיתי לדרך ותפחיתו ככל הניתן את הסיכונים.

הכותב, ערן כהן, מנהל אזורי של Ciklum IL

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
ערן כהן
בואו נעבוד ביחד
support@israelclouds.com
צרו קשר